安全分析师进阶指南：需要掌握的高级技能

在全球范围内，安全分析师的需求增长都是最快的。安全分析师是时间机器；安全分析师需要批判性思维；分析是人机协同的工作；组织可以培养分析文化……

SANS最近发布的《2021安全分析师需要掌握的高级技能报告》，同时也是一份安全分析师进阶指南。

随着越来越多的组织通过建立自己的安全运营中心（SOC）或通过参与托管安全服务来改善其安全运营，对安全相关角色的需求比以往任何时候都高。根据Cybersecurity Ventures的职位报告，到2021年，安全相关职位空缺达到了350万。

在所有安全相关职位中，安全分析师尤其短缺。美国劳工统计局报告称，从2019年到2029年，仅美国信息安全分析师的需求预计将增长31％，远快于所有职位需求的平均水平。作为该领域收入最高的工作之一，安全分析师必须成为所有行业的大师，本质上是“全方位防御者”，他们在威胁检测方面非常称职，同时还具有出色的分析和沟通技巧。但是，要胜任这个角色，需要具备哪些技术和非技术技能？行业安全解决方案如何增强分析师的能力，使其变得更加有效？

SANS报告首先探讨使安全分析师成功的原因。这个关键步骤通常被忽略。这可能导致对分析师和雇主的错误期望，从而导致更高的人员流失和职业倦怠。报告还将研究安全分析师需要掌握的最有效技能，以有效地保护端点、网络和云之间的组织，并与报告中提出的模型保持一致。

分析师是“时间机器”

神经科学家Dean Buonomano在他的书《大脑是台时光机》中，解释了人脑如何不断做出实时预测，不仅是“接下来会发生什么”，还包括“何时会发生”。借助记忆和认知，我们的大脑成为了时间机器：我们可以在时间上来回移动。

时间一直是战争的重要组成部分，网络安全也不例外。作为全方位的防御者，安全分析师一直在坚持不懈地战斗，而时间是至关重要的因素。

但是，我们以产品为中心的行业通常会促使安全专业人员在学习工具和技术上投入过多的精力，而没有对其分析的质量给予足够的重视。实际上，成功的分析师需要掌握的最重要的技能之一就是了解何时以及为何必须使用某些工具或产品。理解这一点可能会在与攻击组织的对抗中有所帮助。

幸运的是，分析人员可以使用几种安全模型和框架来发展和提高他们的技能，其中包括：

1、MITER ATT＆CK®

MITER ATT＆CK®是所有分析人员都应该熟悉的框架，因为它使我们能够了解要防御的对手。面向企业的MITER ATT＆CK矩阵可以看作是棋盘。板上的每个方块都可以在某一时刻与攻击者的战术、技术和规程（TTP）进行比较。可以说，像攻击者这样的思维可以帮助分析师预测未来，或在一定程度上预测可能的走势，从而使他们成为更好的防御者。熟悉攻击者的行为也可以帮助分析师理解过去发生的事情，使他们的大脑成为时间机器，在攻击链中来回移动。

尽管ATT＆CK提供了一种描述攻击者行为的语言，但没有提供描述防御者的行为和思想语言或分类法。以下模型可以帮助我们描述这些。

2、基于时间的安全性（TBS）

基于时间的安全性（TBS）提供了一种方法论，是定量和经过数学验证的方法，通过回答以下问题来了解产品或技术提供了多少安全性：

1）系统暴露多长时间？

2）我们发现攻击需要多长时间？

3）我们需要多长时间进行回应？

这个简单的模型对于安全分析人员了解时间在日常工作中的重要性至关重要。尽管TBS可用于评估安全体系结构的有效性，但它也将重点放在了分析人员作为SOC一部分的检测和响应过程的有效性中，指出何时需要更长的时间来检测和响应入侵。而不是安全措施所提供的保护时间（即，如果P<D + R），那么攻击者将获胜。参见图1。

3、OODA（观察-决定-行动）循环

OODA（观察-决定-行动）循环始于1976年，当时美国空军上校John Boyd发表了关于在空战中获得战斗优势的抽象概念。Boyd的关键概念是决策周期的概念，即现在著名的OODA循环（请参见图2）。

在这种模型中，Boyd假定胜利是授予能够做出最快反应的战斗员。攻击者和防御者都在时间限制下运行，但是能够在动态环境中做出反应的速度比攻击者更快的防御者可以在这种情况下获得竞争优势。再次，我们看到时间是任何安全分析师考虑的关键因素。循环的四个步骤是：

1）观察-感知环境，收集信息并调查情况。

2）定向-分析收集的数据以形成假设并获得观点。

3）决定-根据之前阶段制定针对情况的行动计划。

4）行动-使决策付诸实施。

此循环的关键是在定向阶段进行的活动和批判性思维，以及它是一个迭代反馈模型的事实，该模型允许分析师根据分析结果来调整决策。没有反馈，分析师将无法根据新证据、新数据或以前的经验来修改决策。

更少的任务和更多的批判性思维

安全分析师是问题解决者，解决问题需要特定的技能。分析师本质上是一个调查员，也可以被描述为思想家，他是一个善于研究方法论而且分析能力强的人。调查技能在许多行业中至关重要，包括记者、统计学家、医生和考古学家。他们如何进行调查，我们是否可以学习这些技能？学习任何新技能的关键是定义它，并将其分解为逻辑步骤，建立可以遵循和系统地重复的过程。调查过程也不例外，并且可以通过这种方式进行有效解释。

要了解调查过程，有必要在调查任务和研究思维（也称创造性思维）之间进行区分。调查任务涉及信息收集过程，该过程收集到创造性思维中（例如OODA循环），分析信息并创建理论或假设以制定调查计划的过程。让我们考虑其中每个子流程以及与之相关的技能，如下所示：

1、调查任务

这些职责在多个网络安全角色中是共有的。SOC分析师、事件分析师、事件响应者和威胁狩猎执行与识别证据、收集信息、收集证据，以及在许多情况下保存证据相关的任务。角色之间的主要区别在于流程的开始位置。SOC分析师通常从报警开始调查，而威胁狩猎则从假设或问题开始工作，包括：

1）分析人员在此类别中需要掌握哪些关键技能？大多数与数据收集和转换有关。编程和自动化技能对于从网络、端点、应用程序和其他日志存储库（例如安全信息和事件管理/SIEM、数据聚合工具）收集数据至关重要。这些技能对于大规模处理数据也很有用。学习一种可以跨多种平台（例如PowerShell或Python）轻松获得的编程语言，以及系统命令行脚本（例如Bash），都可以提供巨大的帮助。

2）在网络方面，具有tcpdump、Wireshark或其他网络流量监视工具捕获流量的能力，在网络可能为我们的分析增加重要证据的许多情况下会有所帮助。

2、研究思维

不幸的是，如前所述，分析人员花费太多时间执行调查任务，而很少花费时间进行批判性思维或研究性思维。想象一下，一个侦探只收集证据，却从不分析得出结论的效率将是多么低下！这就是为什么许多分析师最终会以自动驾驶模式运行，而不是执行OODA循环的重复阶段的原因。

安全分析师必须利用研究或批判性思维。可以通过开发旨在分析收集到的信息的技能，发展关于发生的事情和事件发生的方式的理论，利用上下文和直觉以及建立合理的假设来磨练批判性思维。分析师该怎么做？首先，我们必须花时间反思我们根据所见所闻所做出的决策。这意味着要有一种怀疑的心态，目的是尽可能客观地探索所有替代方案。

分析师的最佳做法包括：

• 问问题。人类通过问题学习，研究人员也通过问题解决事件。多年来，来自中央情报局和执法部门的调查人员一直在使用竞争假设分析（ACH）模型。ACH是一种分析过程，可识别一组替代假设并评估可用数据是否与每个假设一致或不一致。数据最不一致的假设将被拒绝。

  通过提出问题，分析师会仔细权衡证据，并考虑其他解释或结论。这种结构化的方法可帮助分析师克服或至少最小化许多SOC中常见的认知限制。这种采用问题和假设的科学方法对我们许多人来说在数字取证领域也不是新鲜事。许多安全专家和研究人员已撰写了有关在网络安全领域使用此方法的文章。
  

  尽管经验丰富的分析师会在调查过程的早期就提出更多问题，但较新的分析师往往会做出假设并开始做出决策并采取行动，而不会引起太多质疑。大多数时候，调查都是从广泛的问题开始的，最终会导致更具体的问题，这些问题可以带我们去发现更多的证据。这些问题使我们在调查期间面临不确定性情况时可以收集更多的背景信息和范围。

• 向后推理。向后推理可以将分析师的大脑用作时间机器，以具体方式对过去的事件进行推理，假设在攻击的每个阶段都必须发生什么才能到达安全控制台中显示的警报。由于后向思维只是因果关系思维的一种，因此使用诸如洛克希德·马丁公司的Cyber KillChain®或MITER ATT＆CK之类的模型来了解攻击的逻辑步骤，对于支持这些推断和推论至关重要。

• 不要线性思考。据说攻击者以图表的方式思考，而防御者以列表的方式思考。这是指许多安全分析人员依靠静态和线性剧本来响应威胁这一事实。尽管响应手册在应对已知威胁时会有所帮助，但很多时候分析人员面临着从未见过或未解决过的新事件、新挑战和新难题。这表明，分析师需要使用本报告中描述的工具和方法进行批判性思考并考虑一种或多种合理的途径。

• 注重细节，克服无意识的偏见，不要错过“大猩猩”。在高度动态的环境（例如我们的网络）中，很难发现攻击。在认知密集型工作中，将我们的注意力集中在某些事情上很容易，有时会错过完全可见但出乎意料的事件，这被称为疏忽性失明。著名的例子是Daniel Simons和Christopher Chabris在1999年开发的“隐形大猩猩”实验。

  在该实验中，研究参与者被要求观看一段视频，其中有两支球队，一支穿着黑衬衫，一支穿着白衬衫，正在传球。告诉参与者统计穿白衬衫的球员传球的次数。录像中途，一只大猩猩走进现场，站在中间，敲打他的胸部，然后退出。当询问研究参与者是否看到大猩猩时，超过一半的人承认他们完全错过了大猩猩。

  为了不遗漏类似的隐形大猩猩，信息安全分析师必须仔细研究他们正在研究的系统，并注意行为或性能的偏差或变化。在调查的每个步骤上做笔记并使用诸如ACH之类的方法可以帮助消除注意力不集中以及无意识的偏见。

• 像孩子一样好奇而灵活。好奇心可能是分析师必须不断培养和培训的最重要技能之一。好奇可以帮助安全分析师好奇、拉线程、探索和提出问题（而不仅仅是在自动驾驶模式下做出反应）。培养好奇心的一种方法是发展跨学科技能。许多出色的分析师没有计算机科学或工程领域的正式背景，而是来自与艺术有关的其他领域，或者喜欢与技术无关的爱好。这为他们提供了更广泛的体验，可以帮助他们通过不同的视角来感知世界，并帮助他们观察异常。

  孩子们也很灵活，他们不为改变主意或接受自己不了解的一切而感到羞耻，相反，他们通常足够灵活以适应和学习。安全分析人员还必须准备好学习和适应（再次考虑OODA循环中的迭代反馈）。就像在空战中一样，在任何领域中获得优势的关键是在高度动态的环境中的灵活性和敏捷性。

调查和OODA循环

在这一点上，批判性思维技巧以及诸如OODA循环和TBS之类的模型可以帮助我们成为更好的安全分析师。表1总结了安全分析人员必须有效掌握的一些顶尖技能，才能有效地跨端点、网络和云保护其组织。当您浏览该表时，请考虑以下问题：我需要花费多长时间才能完成这些步骤中的每一个步骤，以及在循环中的每个点上需要多少粒度？

分析是人机协作的工作

《哈佛商业评论》将人工智能称为“我们时代最重要的通用技术”，并将其与内燃机相比，它具有重塑我们所做的一切并改变每个行业（包括网络安全）的能力。然而，自动化和当前的AI解决方案取决于人类观察和理解威胁，然后建立模型或编写代码。攻击者通常会占据上风的原因是人类观察现象与机器帮助之间的时间差。

尽管周期肯定会随着时间的推移而缩短，这些新的AI系统将继续学习并与SOC的从业人员直接互动，而不是取代他们，因此安全分析人员可以专注于人类最擅长的领域：直觉、上下文、道德、创造力和策略。机器将改善信息的搜索和收集、汇总、模式匹配、归纳和假设检验，业界称其为“人机组合”。

在这个新的网络防御时代，对于供应商而言，提供能够以增强分析人员的认知能力的方式帮助他们转换数据，从他们那里获得方向性反馈，以某种方式组织高背景数据源的解决方案将至关重要。通过观察分析员的工作来提高分析员的绩效和学习能力，例如，一个专家系统可以了解如何通过消除人类过去调查和消除的报警来减少实时监控中的误报。这些类型的解决方案将继续使安全分析人员能够执行高度认知的任务，从而导致更快的OODA循环、更快的检测和响应，并最终实现更有效的防御。

结论：分析人员不是天生的，是需要开发和培养的

与许多人的看法相反，没有人天生就是安全分析师。安全分析师本质上是一名调查员，而调查员是关键的思想家。我们今天所面临的大部分短缺是由于该行业对工具和技术的高度重视，而不是调查所需的思维过程或技能。

好消息是，批判性思维是一种可以学习的能力。我们可以并且应该鼓励这些技能的发展。正如本报告所强调的那样，调查具有清晰、明确的过程，可以解释这些过程，并取决于可以掌握的技能。TBS和OODA循环之类的安全模型是理解成功的分析师所需的心态和技能的良好起点。注重分析和批判性思维的动手训练将有助于缩短开发这些技能所需的时间。

组织还可以培养分析文化，并通过内部防御演习、取证挑战以及模拟特定攻击和防御场景并生成数据集进行分析的分组练习来帮助提高这些技能。最后，网络安全供应商可以通过提供增强分析师的认知能力并实施人机协作概念的解决方案来帮助弥补这一差距。

本文来源：互联网安全内参。

<!– 多条广告如下脚本只需引入一次 –>